‘You could have helped.’
'I’m helping by not helping.’
‘You’re the one with experience of these creatures.’
‘Children, Lobsang. They’re called children.’
Er was geen inleiding of zo vrij direct kreeg ik in de mail de bijlage te zien. Het was een online bijlage, een link naar docusign om daar een document te bekijken en te 'ondertekenen'. Laat ik nou beroepshalve overeenkomsten met potentiële opdrachtgevers tekenen, en hun bijlages openen. Maar deze vertrouwde ik niet omdat ik de naam niet herkende en nooit mijn diensten heb aangeboden aan zo iemand laat staan op het punt zijn een samenwerkingsovereenkomst te sluiten. Ik opende daarom het bestand niet. Maar ik kan goed begrijpen hoe andere mensen dat zouden doen, zelfs ik op een veel minder oplettend moment zou blindelings erop geklikt kunnen hebben zonder de naam te controleren of de (het gebrek aan) inhoud.
Ik verwijderde vervolgens de mail door hem bij google als phishing/spam te rapporteren. Wat voor effect dat zal sorteren valt nog te bezien, in google rapporteren heb ik ervaringsgewijs niet zoveel vertrouwen in.
Ik ben vooral verbaasd/lichtelijk geschokt door het feit dat zo iemand aan mijn mailadres is gekomen. Ik bedoel waarom mij? Ik geloof niet dat ik mij ingelaten heb met rare internetfiguren de laatste tijd. Wel heb ik overigens voortdurend last van mailspam maar dat wordt voor mij netjes door google in het spamvak gefilterd- al zou ik liever hebben dat het fysiek afgeslagen wordt en daardoor mijn box niet eens bereikt, maar dat terzijde. Ik ben eerder bang dat zulke mensen ook in de toekomst kunnen proberen mij te slachtofferen met deze ongewenste mails want ze hebben nu eenmaal mijn mailadres. Hoera zeg.

De enige oplossing voor alle problemen is niet naar één oplossing te zoeken.
Hoe komen ze aan je mail adres? Gelekte database, slecht beveiligde webshop, mailinglist gekaapt enz. enz.
Geef of laat alleen wanneer hoognodig je mail adres af. En in geval van Android, tsja kwam ik van het weekend achter door iets voor iemand te installeren, je gmail adres staat al vooringevuld in een veld in de app, hopelijk wordt dit niet zomaar naar de servers van de app maker gestuurd! Want er zijn ook talloze apps die alleen maar uit zijn op data mining
NRG
Zijn er mensen die betaald hebben en de decrypt sleutel hebben gekregen ?
Ik heb een systeem die prijs heeft en de back-up niet in orde is.
Men vraagt 0,5 bitcoin wat nu wel nog te doen is, als je geen andere optie hebt.
Ik heb er zo'n 20 gehad bij ons, ik zal eens kijken of een lijstje kan maken.Qwerty-273 schreef op vrijdag 26 februari 2016 @ 16:45:
Is er ergens een lijst met messagesubjects beschikbaar? We zien dat Locky bij ons ook binnenkomt en zouden graag zien wie het ontvangt op basis van onze mail gateway - de anti-virus zit verder dieper in de mail flow infra laag en pikt er een aantal uit. De rest wordt voornamelijk gedetecteerd door de av op de client (met 1 client die het toch voor elkaar kreeg om zichzelf te encrypten). Daarom willen we proberen te zien op basis van de mail logs zelf, waar we aandacht aan moeten besteden
Voorbeelden van subjects die we voorbij zien komen:
- ATTN: Invoice J-78022281
- VAT Invoice - Quote Ref: ES0142570
- Order Conf. 3360069
- [name] , Here is your VAT Invoice - Quote Reference: 0128020
- [name] , Here is your VAT Invoice - Quote Ref: 0176850
- [name], Here is your VAT Invoice - Quote Reference: 0174370ount today.|Ignoring this account hurts you and your company.|I want to remind you about your payment obligation|Information on your account|Disregarding this account hurts you|Unfortunately, you have an outstanding issue requiring your attention}
- FW: Payment #119807
- FW: Payment #237911
- RE: Refund RF-574457
- FW: Refund RF-574457
- FW: Refund RF-251575
- FW: Order F-326805
- FW: Payment ACCEPTED M-972762
- FW: Payment 16-03-#215269
- FW: Invoice 2016-M#638432
- FW: Invoice 2016-M#538645
- FW: Invoice 2016-M#032657
- RE: Unpaid Invoice #900460
- FW: Shipping Information - Your Order #234-3877
- Shipping Information - Your Order #534-6228
- Ihre Paket ist am lager.
- Transaction and Payment Confirmation
- scanned image (gespoofed van ons eigen domein nog wel)
[ Voor 3% gewijzigd door Ircghost op 18-03-2016 11:00 ]
CrySiS ransomware.
2,5 BTC moeten betalen, hierna nog niet alle bestanden terug..
Klein MKB met 7 werkstations, allemaal versleuteld.
Backup was al maanden niet gemaakt ("ja, HDD is kwijt en leek niet zo belangrijk").
Oude IT partij is direct de laan uitgestuurd (ook vanwege 3 jaar geen update te hebben uitgevoerd maar wel betalen).
Je krijgt na betaling een programma (decrypter), systeem laten scannen, weer mailen met de code en dan weer afwachten op een code terug.
Gelukkig netjes reactie elke keer gekregen.
2x BambuLab X1CC 3D Printer - Omtech 60w Co2 Laser - Cloudray 30w Fiber Laser
-Take your losses
-Wachten op evt decrypt tool van bonafide bedrijven.
-Betalen en decrypt tool krijgen
-Betalen en nooit meer wat van ze horen.
Hoe dan ook een pc reinstall.
Leuk weekeinde zo.
optie 4 lijkt niet echt het geval.
Dus dan blijven er 2 opties over: take your losses, of zorg ervoor dat criminelen een financiele stimulans krijgen om dit soort dingen te ontwikkelen. Betalen lijkt me om die reden een slechte keuze, zeker als het om zoveel geld gaat.
Hoe het binnen is gekomen? Mijn nichtjes zoeken van alles op dat ding op, en ook vaak "antwoorden van huiswerk" en zulke zaken, waarschijnlijk is hij hierdoor of door een email-bijlage geïnfecteerd. Niets blijkt minder waar te zijn, want eenmaal daar vertelde mijn oom dat zijn werk-laptop met duizenden werk-gerelateerde bestanden eerder die week dezelfde melding had gekregen. Mijn tante kwam erbij staan, zegt dat bij haar op het werk ook een groot aandeel PC's eenzelfde soort "melding" kregen. Hoe, wat en waar alles precies is ge-encrypt zal dus nooit duidelijk worden, maar gelukkig heb ik er zelf een jaar geleden met klem op gehamerd dat ze zich alle foto's moesten back-uppen. De foto's vallen mij opeens in, en dan krijg ik te horen "ja, maar zo erg zal het toch wel niet zijn, of wel dan?"...
Een jaar aan niet back-upped foto's weg, werkbestanden weg, veel ellende voor mij erbij, en een wijze les. Ze waren op mijn oom zijn werk juist die week aan bezig om alles in de cloud te zetten, maar nu was er natuurlijk geen enkele backup.
Ouders in paniek, andere familieleden in paniek, paniek paniek en nog eens paniek, en wie mag weer voor een "oplossing" zorgen die niet bestaat? Juist...
Opeens wordt er na een RTL-nieuws aflevering aan mij gevraagd door diverse mensen om een back-up te maken, dit te doen, dat te doen en zus te doen. Jammer, ik heb wel meer te doen dan uren stressen

Laatste tijd trouwens echt een shit-load aan spamberichten in m'n mail, enkele kansenpareltjes met vermoedelijk cryptolockers van de afgelopen paar dagen:
- Invoice XEINV00659 from Tip Top Delivery
- RE: BACANORA MINERALS LTD - Order Number 69781/286466/64 status updated to order processing
[ Voor 8% gewijzigd door Kuusj op 20-03-2016 18:46 ]
9800X3D - RX 6900XT - Volvo S40 T5 '10 - Kever '74
Je moet ook niet stressen en je van de wijs laten brengen. Gewoon meenemen die hap goed geld vragen, dat is een les. Familie of niet tips gegeven, genegeerd, blaren...kuusj98 schreef op zondag 20 maart 2016 @ 18:41:
Laatst belde een oom me op met de vraag of ik wist wat met zijn PC aan de hand was, hij "kon geen programma's openen" en er verscheen een melding in beeld. Ik vermoedde al het ergste en stond binnen een half uur op de stoep. Na 5 seconden had ik het al gezien, alles gelocked...
Hoe het binnen is gekomen? Mijn nichtjes zoeken van alles op dat ding op, en ook vaak "antwoorden van huiswerk" en zulke zaken, waarschijnlijk is hij hierdoor of door een email-bijlage geïnfecteerd. Niets blijkt minder waar te zijn, want eenmaal daar vertelde mijn oom dat zijn werk-laptop met duizenden werk-gerelateerde bestanden eerder die week dezelfde melding had gekregen. Mijn tante kwam erbij staan, zegt dat bij haar op het werk ook een groot aandeel PC's eenzelfde soort "melding" kregen. Hoe, wat en waar alles precies is ge-encrypt zal dus nooit duidelijk worden, maar gelukkig heb ik er zelf een jaar geleden met klem op gehamerd dat ze zich alle foto's moesten back-uppen. De foto's vallen mij opeens in, en dan krijg ik te horen "ja, maar zo erg zal het toch wel niet zijn, of wel dan?"...
Een jaar aan niet back-upped foto's weg, werkbestanden weg, veel ellende voor mij erbij, en een wijze les. Ze waren op mijn oom zijn werk juist die week aan bezig om alles in de cloud te zetten, maar nu was er natuurlijk geen enkele backup.
Ouders in paniek, andere familieleden in paniek, paniek paniek en nog eens paniek, en wie mag weer voor een "oplossing" zorgen die niet bestaat? Juist...
Opeens wordt er na een RTL-nieuws aflevering aan mij gevraagd door diverse mensen om een back-up te maken, dit te doen, dat te doen en zus te doen. Jammer, ik heb wel meer te doen dan uren stressen.
Laatste tijd trouwens echt een shit-load aan spamberichten in m'n mail, enkele kansenpareltjes met vermoedelijk cryptolockers van de afgelopen paar dagen:
- Invoice XEINV00659 from Tip Top Delivery
- RE: BACANORA MINERALS LTD - Order Number 69781/286466/64 status updated to order processing
Eerlijk, ik doe ook veel onderhoud, herstel of installs voor weinig of ook vaak gratis. Maar deze ellende en kop in het zand mentaliteit pas ik een beetje voor. Uiteraard zorg ik wel voor behoorlijke beveiliging.
NRG
Wellicht ben ik te zorgzaam voor anderen hun spullen, en dan ben ik ook nog iemand die niet zomaar geld wil krijgen voor een klusje hier of daar. Helaas krijg je als systeembouwer al snel mensen aan de telefoon als er ook maar iets is wat niet 100% werkt, terwijl ik er natuurlijk niks aan kan doen dat ze niet weten hoe een printer werkt of dat ze geen "meek joer windhoos 1000% fastur wit wan klik!!1one!" software moeten installeren.GerardVanAfoort schreef op zondag 20 maart 2016 @ 19:34:
[...]
Je moet ook niet stressen en je van de wijs laten brengen. Gewoon meenemen die hap goed geld vragen, dat is een les. Familie of niet tips gegeven, genegeerd, blaren...
Eerlijk, ik doe ook veel onderhoud, herstel of installs voor weinig of ook vaak gratis. Maar deze ellende en kop in het zand mentaliteit pas ik een beetje voor. Uiteraard zorg ik wel voor behoorlijke beveiliging.
Zelfde met die verdomde cryptolockers, de mensen kunnen niks met hun PC, hebben geen backup gemaakt en vertrouwen vervolgens op de goedheid en kennis van hun neefje of vriend om voor een tientje even een hoop uren arbeid te leveren. In de zogenaamde computerwinkel betalen ze het tienvoudige en ik heb de ballen niet om te zeggen: "ja, dáág! Eigen schuld, dikke bult!"
Zolang virusscanners hun werk niet goed doen, mainstream-gebruikers blijven doen alsof hun verstand nog niet tot het einde van hun neus reikt en cryptolockers geld blijven krijgen van mensen die geen back-up hebben maar toch hun hele hebben en houden op dat ding hebben staan ben ik bang dat er voor iedere Tweaker nog méér dan genoeg werk is.
9800X3D - RX 6900XT - Volvo S40 T5 '10 - Kever '74
Naar familieleden kan je je het beste opstellen als een consultant. Zo zal een familielid dat in de financiële beleggingswereld ook nooit geld van familieleden beleggen. Hij kan wel advies geven maar zal het nooit uitvoeren voor de familieleden.kuusj98 schreef op zondag 20 maart 2016 @ 19:44:
[...]
Wellicht ben ik te zorgzaam voor anderen hun spullen, en dan ben ik ook nog iemand die niet zomaar geld wil krijgen voor een klusje hier of daar. Helaas krijg je als systeembouwer al snel mensen aan de telefoon als er ook maar iets is wat niet 100% werkt, terwijl ik er natuurlijk niks aan kan doen dat ze niet weten hoe een printer werkt of dat ze geen "meek joer windhoos 1000% fastur wit wan klik!!1one!" software moeten installeren.
Zelfde met die verdomde cryptolockers, de mensen kunnen niks met hun PC, hebben geen backup gemaakt en vertrouwen vervolgens op de goedheid en kennis van hun neefje of vriend om voor een tientje even een hoop uren arbeid te leveren. In de zogenaamde computerwinkel betalen ze het tienvoudige en ik heb de ballen niet om te zeggen: "ja, dáág! Eigen schuld, dikke bult!"
Zolang virusscanners hun werk niet goed doen, mainstream-gebruikers blijven doen alsof hun verstand nog niet tot het einde van hun neus reikt en cryptolockers geld blijven krijgen van mensen die geen back-up hebben maar toch hun hele hebben en houden op dat ding hebben staan ben ik bang dat er voor iedere Tweaker nog méér dan genoeg werk is.
Zo moet je ook omgaan met de computers van familieleden.
Je kunt je systeem dichtspijkeren wat je wilt maar het is altijd nog de mens die in dit geval de fout maakt.
En aangezien je je klanten ook niet altijd tegen hunzelf kunt beschermen zal dit nog wel vaker voorkomen (sommige klanten willen hier niets van weten want 'ze weten wel wat ze doen'. Totdat ze geïnfecteerd zijn en bij ons aankloppen: 'Het was ineens zo').
Het enige waardoor je de schade zoveel mogelijk beperkt is je back-up voor elkaar hebben en een plan hebben voor als het fout gaat.
‘You could have helped.’
'I’m helping by not helping.’
‘You’re the one with experience of these creatures.’
‘Children, Lobsang. They’re called children.’
Ik installeer eigenlijk altijd EMET op iedere welke ik ontvang, gezamelijk met Kaspersky Internet Security, maar in hoeverre beschermt dit het nu?
Verwijderd
Solar @ Dongen: http://solar.searchy.net/ - Penpal International: http://ppi.searchy.net/
Verwijderd
Hoe ontdek je nu dat het geïnfecteerde mails zijn?Keiichi schreef op maandag 21 maart 2016 @ 22:34:
Op m'n mailserver bemerkt ik een vrij forse stijging in geinfecteerde mails. Helaas niet omdat m'n virusscanner ze eruit pakt, sterker nog met een analyse met virustotal.com: https://www.virustotal.co...ca89/analysis/1458594289/ lijkt het merendeel van de virusscanners niet op te pakken. (oa de virusscanners (clamav en f-prot) op mijn mailserver)
Kun je gewoon op filteren.
Bestand opslaan, uploaden naar virustotal.com . En ik denk als ik 10x binnen een paar uur een zelfde mail krijg met m'n 'order status' (subjects als 'FW: Order Status #590365') dat ik ook ergens mag aanneme dat niet iemand per ongeluk zip files met echte informatie toestuurt.Verwijderd schreef op maandag 21 maart 2016 @ 22:35:
[...]
Hoe ontdek je nu dat het geïnfecteerde mails zijn?
Solar @ Dongen: http://solar.searchy.net/ - Penpal International: http://ppi.searchy.net/
Verwijderd
En de mails met al die andere signatures?dutchgio schreef op maandag 21 maart 2016 @ 22:43:
Order_details.zip zegt wel genoeg.
Kun je gewoon op filteren.
Gewoon *.zip en *.exe, niet echt reguliere bijlages.Verwijderd schreef op maandag 21 maart 2016 @ 23:04:
[...]
En de mails met al die andere signatures?
Verwijderd
Ik kan me niet aan de indruk onttrekken dat we collectief steeds achter de feiten aanlopen. Eerst waren het .docs met macro's, toen Javascript-bestanden, nu .zips en .exes. Filteren helpt, maar levert ook een vals gevoel van veiligheid op.dutchgio schreef op maandag 21 maart 2016 @ 23:09:
Gewoon *.zip en *.exe, niet echt reguliere bijlages.
[ Voor 3% gewijzigd door Verwijderd op 21-03-2016 23:16 ]
Nu vroeg ik me af, als Chrome als standaard browsen is ingesteld, vangt de sandbox in chrome (het downloaden van) dit soort malware dan af?
Maar het opmerkelijke was alleen dat de afzender hetzelfde, eigen emailadres was.
Eerste gedachte is dan een geinfecteerd systeem met dat mailaccount, maar het mailaccount wordt eigenlijk alleen gebruikt op een iPad, waarvan de kans op infectie toch aanzienlijk lager ligt...
Ook is de mail niet naar andere contacten verstuurd, alleen naar zichzelf. Van een compromise van het mailaccount via webmail oid lijkt dus ook geen sprake, al is het wachtwoord wel direct veranderd.
Al met al nogal vreemd. Is dit een trucje(?) om de mail als legitiem te laten lijken of is het mailaccount daadwerkelijk geinfecteerd?
Wel betekent dit dat je mail adres bekend is in bepaalde criminele kringen.
Je kan dus meer van dit soort spul verwachten in de toekomst.
Klopt, dat was met de besmette mails hier exact hetzelfde. Waarschijnlijk om de gebruiker te verleiden om het toch te openen inderdaad (waar hier dus iemand in trapte helaasdutchgio schreef op woensdag 23 maart 2016 @ 11:00:
Gisteren kreeg ik ineens melding van een persoonlijk emailaccount met een malafide bijlage, .zip met javascript erin. Nou is dat niet heel bijzonder.
Maar het opmerkelijke was alleen dat de afzender hetzelfde, eigen emailadres was.
Eerste gedachte is dan een geinfecteerd systeem met dat mailaccount, maar het mailaccount wordt eigenlijk alleen gebruikt op een iPad, waarvan de kans op infectie toch aanzienlijk lager ligt...
Ook is de mail niet naar andere contacten verstuurd, alleen naar zichzelf. Van een compromise van het mailaccount via webmail oid lijkt dus ook geen sprake, al is het wachtwoord wel direct veranderd.
Al met al nogal vreemd. Is dit een trucje(?) om de mail als legitiem te laten lijken of is het mailaccount daadwerkelijk geinfecteerd?
Als je de files op je externe disk gewoon overschrijft, dan ja ...Neefdave schreef op woensdag 23 maart 2016 @ 11:16:
Ik heb voornemens om op mijn Synology NAS een externe HD aan te sluiten en dan dagelijks / wekelijks hier een back-up te laten maken. Kan het zo zijn dat mocht de NAS geïnfecteerd worden dan ook de externe HD geïnfecteerd word?
Best is om online backups te maken met een tool die file versions ondersteund, bijvoorbeeld CrashPlan
Ik had al zo'n vermoeden, kon alleen niet achterhalen wat voor 'truc' het dan zou zijn. Dit klinkt wel mogelijk.cornfed99111 schreef op woensdag 23 maart 2016 @ 11:10:
Meestal een truc. Zie: Wikipedia: Email spoofing
Wel betekent dit dat je mail adres bekend is in bepaalde criminele kringen.
Je kan dus meer van dit soort spul verwachten in de toekomst.
Vanuit het voorbeeld, die wel duidelijke uitleg geeft:
"Alice is sent an infected email which she opens, running the worm code.
The worm code searches Alice's email address book and finds the addresses of Bob and Charlie.
From Alice's computer, the worm sends an infected email to Bob, but forged to appear to have been sent by Charlie."
Je hoeft dus zelf niet kwetsbaar te zijn. Het kan dus ook dat 'Charlie' in dit stuk niet voorkomt maar voor zowel de zender als de gespoofde afzender Bob is in dit geval.
En wie Alice, degene die kwetsbaar is maar jouw emailadres in zijn/haar adresboek heeft, kun je natuurlijk nooit achterhalen.
Er zijn inderdaad veel manieren om mail adressen te achterhalen.dutchgio schreef op woensdag 23 maart 2016 @ 11:22:
[...]
En wie Alice, degene die kwetsbaar is maar jouw emailadres in zijn/haar adresboek heeft, kun je natuurlijk nooit achterhalen.
Winkels/fora/sites worden gehackt en het mailbestand wordt gekopieerd.
Of er wordt ouderwets gezocht.
Dus als je namen zoals dutchgio kent, dan stuur je mails naar dutchgio1, dutchgio2 enz. @ live.nl, outlook.nl gmail.com enz. tot je beet hebt. Mail adressen die niet bestaan bouncen en de rest is beet.
De meeste mailadressen zijn simpel verzonnen namen of variaties ervan.
Ik heb ze in ieder geval bewust gemaakt om die mails met .zip niet te openen maar te verwijderen, al zou de impact op een iPad sowieso beperkt blijven.
Verder 'reguliere' mails met @mass-mail.com of iets in die trend in de spammap gezet, dergelijke mails zouden dan uit de inbox moeten blijven.
Dan moet je wel alle serieuze adressen en sites en dergelijke aanpassen naar het nieuwe adres.
Als dat niet al te veel zijn, is dat een optie om te overwegen.
Er bestaan immers genoeg gratis mail adressen/providers.
Hier ook wel overwogen maar in veel gevallen is dan niet echt een optie omdat klanten al jaren gewend zijn om naar een bepaald adres te mailen. Natuurlijk kun je dan bouncen met een nieuw emailadres erin, maar erg klantvriendelijk is dat niet natuurlijk. Daarnaast blijft het raden hoe ze aan je emailadres gekomen zijn en dus zou het zomaar kunnen dat de verspreiders van deze malware binnen de kortste keren weer de nieuwe adressen hebben; als een contact van je werknemers/klanten malware heeft die alle email-adressen uit het adresboek upload, dan staan deze adressen weer binnen de korste keren in een email-database die wordt aangeboden aan spammers.cornfed99111 schreef op woensdag 23 maart 2016 @ 13:06:
Of je moet dat mail adres afstoten. Dus niet meer gebruiken/braak laten liggen.
Dan moet je wel alle serieuze adressen en sites en dergelijke aanpassen naar het nieuwe adres.
Als dat niet al te veel zijn, is dat een optie om te overwegen.
Er bestaan immers genoeg gratis mail adressen/providers.
Wij zitten te kijken momenteel of we de spam niet effectiever af kunnen vangen voordat het bij de eindgebruikers aankomt.
Het is inderdaad meer een oplossing om dergelijke mail te filteren dan om een nieuw account in gebruik te nemen.
Gebruik nu een Astaro / Sophos Firewall scant op Level 7
(Instellen kost wel wat kennis maar is goed te doen)
Je heb zelf geen lokale virusscanner meer op je enpoints nodig.
Software is Gratis en kan je zo downloaden voor Thuis gebruik Zeker aan te raden. Wordt in Groote organisaties ook gebruikt. Echt een aanrader. Kan het ook op een Simple Pctje installen draait het ook op.
https://www.sophos.com/en...irewall-home-edition.aspx
[ Voor 9% gewijzigd door Raoul.TLS op 23-03-2016 14:22 ]
This too shall pass
In theorie blijft een eventuele besmetting beperkt tot de sandbox en blijft de rest van je systeem verschoont.
Interessant voor alle 'klik op alle vensters ja' gasten. Die leren dat toch nooit meer om met zorg om te gaan met bijlages.
Verwijderd
Je zou dat ook in de sandbox kunnen draaien, al neemt dat zeker niet alle bezwaren weg. Zonder bewuste gebruikers is een sandbox slechts een extra hinder, maar levert het niet meer veiligheid op.MBV schreef op woensdag 23 maart 2016 @ 21:49:
Dat klinkt als een leuk idee, tot je een keer een bestand buiten de sandbox nodig hebt. Stel je voor, een bijlage die je moet openen in een programma, heel raar. Als je gebruikers leert hoe ze dat moeten doen buiten de sandbox, dan is het effectief 2x extra op ja klikken, en helpt dus geen bal.
En dan is daarmee je sandbox de vervanging van je echte systeem geworden, wat dus stuk gaat door pak-em-beet locky. Welk probleem los je dan op met een sandbox?Verwijderd schreef op woensdag 23 maart 2016 @ 21:52:
[...]
Je zou dat ook in de sandbox kunnen draaien, al neemt dat zeker niet alle bezwaren weg. Zonder bewuste gebruikers is een sandbox slechts een extra hinder, maar levert het niet meer veiligheid op.
Verwijderd
Shift + delete sandbox, probleem opgelost. Dat je twee programma's draait in een sandbox betekent niet dat je hele systeem erin draait of geïnstalleerd staat. Je voert ze er alleen in uit.MBV schreef op woensdag 23 maart 2016 @ 21:57:
En dan is daarmee je sandbox de vervanging van je echte systeem geworden, wat dus stuk gaat door pak-em-beet locky. Welk probleem los je dan op met een sandbox?
Soms moet je bijlagen ook echt gebruiken. Als je dat aan een ja-klikker uitlegt zal hij dat de volgende keer vanzelf doen. Als je het maakt zodat hij niet de sandbox uit hoeft, heb je hetzelfde effect als format C: alle gegevens zijn weg.Verwijderd schreef op woensdag 23 maart 2016 @ 21:59:
[...]
Shift + delete sandbox, probleem opgelost. Dat je twee programma's draait in een sandbox betekent niet dat je hele systeem erin draait. Je voert ze er alleen in uit.
Verwijderd
Daarmee zijn we terug bij mijn eerdere postMBV schreef op woensdag 23 maart 2016 @ 22:05:
Soms moet je bijlagen ook echt gebruiken. Als je dat aan een ja-klikker uitlegt zal hij dat de volgende keer vanzelf doen. Als je het maakt zodat hij niet de sandbox uit hoeft, heb je hetzelfde effect als format C: alle gegevens zijn weg.
Het is een middel om leed te voorkomen, maar vooral of zelfs alleen als je je bewust bent van de mogelijkheden en beperkingen. Dan is het waarschijnlijk sneller om de gebruiker te leren kritischer te zijn.Verwijderd schreef op woensdag 23 maart 2016 @ 21:52:
Je zou dat ook in de sandbox kunnen draaien, al neemt dat zeker niet alle bezwaren weg. Zonder bewuste gebruikers is een sandbox slechts een extra hinder, maar levert het niet meer veiligheid op.
Dus toen heb ik mar eventjes onderstaand mailtje uitgestuurd naar iedereen@bedrijfsnaam.tld
Kreeg vrijwel direct daarna een reply van mijn manager waarin hij mij bedankte voor het mededelenCollega's,
Open a.u.b GEEN mailtjes met bestanden die .zip bestanden bevatten op je PC. Op dit moment zijn er spammers aan de gang die zogenaamde cryptolockers verspreiden. Deze bestanden zijn een soort van virussen die je gehele hardeschijf én ook alle netwerk schijven die benaderbaar zijn.
Voorzichtigheid is dus geboden. Virusscanners houden dit helaas niet altijd tegen.
Het gebruik van het gezonde verstand is dus geboden.
Groet,
Priyantha Bleeker
Sent from Outlook Mobile
Verwijderd
Verwijderd
Met zoveel bestanden encrypten is een virus wel even bezig. Weet je zeker dat de boel geëncrypt is en niet alleen van een nieuwe naam voorzien?Verwijderd schreef op dinsdag 29 maart 2016 @ 16:29:
nieuwe ransomware,mhoxmth locker, "betrouwbare factuur KPN mail" ontvangen en op geklikt, nu zijn alle jpg's van naam veranderd met de toevoeging mhoxmth, en alle pdf idem, kwijt, backup defect, 100.000 den foto's en pdf's weg, vragen geld voor decryptie, wie helpt mij ?
Overigens illustreert jouw geval wel waarom je backups niet direct aan je systeem wilt hebben hangen. Het is zeker mosterd na de maaltijd, maar daardoor niet minder relevant.
Verwijderd
Zonder back-up is betalen de enige optie om er weer bij te komen...
Ik meen ooit eens gelezen te hebben dat sommige cryptolockers slechts een deel van het bestand versleutelen. Voldoende om het bestand effectief onbruikbaar te maken, maar een heel stuk sneller dan het volledige bestand door de versleutelingsfunctie te halen.Verwijderd schreef op dinsdag 29 maart 2016 @ 16:34:
[...]
Met zoveel bestanden encrypten is een virus wel even bezig. Weet je zeker dat de boel geëncrypt is en niet alleen van een nieuwe naam voorzien?
Betalen of afscheid nemen van de bestanden zijn de enige oplossingen met zekerheid.Verwijderd schreef op dinsdag 29 maart 2016 @ 16:29:
100.000 den foto's en pdf's weg, vragen geld voor decryptie, wie helpt mij ?
In het verleden zijn er wel eens unlock-tools uitgebracht door anti-malware bedrijven die bestanden in specifieke gevallen konden ontsleutelen, maar dit was enkel mogelijk in specifieke situaties waar de versleuteling erg zwak was of de aanvaller fouten had gemaakt in de opzet van de aanval. De kans dat dit, na vele iteraties van cryptolocker malware, nog steeds mogelijk is, is miniem. Een degelijke versleuteling die goed is geimplementeerd is effectief onkraakbaar.
|| Vierkant voor Wiskunde ||
Verwijderd
De enige juiste methode is nog steeds niet te betalen voor dit soort grappen. Pas als je echt geen andere keuze meer hebt, is het het overwegen waard.
Uiteraard is dat geen oplossing van het probleem in z'n geheel maar als je echt gegevens hebt waar je niet zonder kunt is dat wel de enige optie.
Verwijderd
Er zijn ook nog verschillende toolkits waarmee je aan de slag kunt. Zonder eerst te analyseren wat je probleem nou eigenlijk is zomaar betalen lijkt me hoe dan ook niet verstandig - al is het maar omdat je geen indicatie hebt of je je bestanden terug kunt krijgen. In halve paniek zomaar geld gaan overmaken is het domste dat je kunt doen.dutchgio schreef op dinsdag 29 maart 2016 @ 17:00:
Aanraden is het niet, maar zonder backup is het wel de enige mogelijkheid tot.
Uiteraard is dat geen oplossing van het probleem in z'n geheel maar als je echt gegevens hebt waar je niet zonder kunt is dat wel de enige optie.
Nog even los van dat dit precies is waarom die troep opeens zo gangbaar is.
Want daar komt het gevaar vandaan. Niet de mail zelf.
Wellicht een 'work-around' voor al die mensen die overal maar op ja klikken.
Verwijderd
Daarom pleit ik er eigenlijk zelf wel voor om gewoon heel het fenomeen attachment af te schaffen. In bedrijfsmatige context mag het al niet eens meer als de attachments ook maar iets aan persoonlijke data bevat en je komt om van de clouddiensten waar je doodsimpel en veilig files mee kan delen.Verwijderd schreef op maandag 21 maart 2016 @ 23:11:
[...]
Ik kan me niet aan de indruk onttrekken dat we collectief steeds achter de feiten aanlopen. Eerst waren het .docs met macro's, toen Javascript-bestanden, nu .zips en .exes. Filteren helpt, maar levert ook een vals gevoel van veiligheid op.
E-mail kan je m.i. het best gewoon terugbrengen naar de basis en puur als communicatiemiddel gebruiken.
Een alternatief is de data als verloren beschouwen en een les leren?dutchgio schreef op dinsdag 29 maart 2016 @ 17:00:
Aanraden is het niet, maar zonder backup is het wel de enige mogelijkheid tot.
Uiteraard is dat geen oplossing van het probleem in z'n geheel maar als je echt gegevens hebt waar je niet zonder kunt is dat wel de enige optie.
Serieus, al die mensen die nu "geen andere optie" hebben wat doen die als hun HDD gewoon oldschool crashed? 5000 euro aan zo'n data recovery toko overdragen in de hoop dat er wat te redden valt?
[ Voor 48% gewijzigd door Verwijderd op 29-03-2016 18:43 ]
Niks "nieuwe ransomware", gewoon een willekeurige naam is er van gemaakt/achter geplakt zoals een van de vele bestaande cryptolockers.Verwijderd schreef op dinsdag 29 maart 2016 @ 16:29:
nieuwe ransomware,mhoxmth locker, "betrouwbare factuur KPN mail" ontvangen en op geklikt, nu zijn alle jpg's van naam veranderd met de toevoeging mhoxmth, en alle pdf idem, kwijt, backup defect, 100.000 den foto's en pdf's weg, vragen geld voor decryptie, wie helpt mij ?
Ik kreeg vanmorgen weer een laptop van iemand hier, haar collega had vorige week vrijdag een factuur van KPN geopend, dat was geen locky maar CTB-Locker. Blijkbaar was het virus niet helemaal klaar want ik kon alles terugzetten vanuit de "Vorige versies". Ze hadden wel een backup, maar die was al weer 5 weken oud, nu zijn ze maximaal 1 dag werk kwijt.
There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!
Wel las ik net een nieuwsartikel dat BitDefender een "Anti-ransomware" tool heeft uitgegeven. Iemand ervaring mee?
https://www.security.nl/p...'vaccin'+tegen+ransomware
MacBook, MacBook Pro 15, Mac Mini 2012, iPhone X, Watch, TV 4K
Verwijderd
Het zou wel een ideale doelgroep zijn, dus dat kan slechts een kwestie van tijd zijn.BCGraaf schreef op woensdag 30 maart 2016 @ 20:10:
Zijn er bij jullie ook al gevallen bekend dat OSX besmet is met een encryptie virus ?
Is onlangs nog gebeurd: nieuws: Officiële versie Mac-app Transmission bevatte ransomwareBCGraaf schreef op woensdag 30 maart 2016 @ 20:10:
Zijn er bij jullie ook al gevallen bekend dat OSX besmet is met een encryptie virus ?
Zelfde verhaal hier, heb hem als preventie of om toch iets te doen alvast bij een hoop erop gezet.bulletrene schreef op woensdag 30 maart 2016 @ 17:18:
Wij hebben op de zaak al diverse klanten voorbij zien komen met o.a. Locky, maar ook TeslaCrypt en CTB locker etc. Tot op heden telkens een volledige backup kunnen herstellen, maar het blijft telkens vervelend, vooral voor de klant.
Wel las ik net een nieuwsartikel dat BitDefender een "Anti-ransomware" tool heeft uitgegeven. Iemand ervaring mee?
https://www.security.nl/p...'vaccin'+tegen+ransomware
Volgens mij zit OSX veiligheidsarchitectuur iets beter in elkaar, zeker sinds de laatste versie. Zonder signature van Apple kan je geen kernel modules meer laden, en kan je standaard geen root-acties doen als applicatie. Alleen yes/ok/really ok aanklikken is niet genoeg, je moet in systeemvoorkeuren instellen dat unsigned applicaties mogen worden uitgevoerd, en dan voor root-acties je wachtwoord ingeven.Verwijderd schreef op woensdag 30 maart 2016 @ 20:18:
[...]
Het zou wel een ideale doelgroep zijn, dus dat kan slechts een kwestie van tijd zijn.
Het is uiteraard niet onmogelijk, maar wel een stuk moeilijker.
Verwijderd
De achterliggende techniek is maar beperkt relevant. Een OS is altijd een complex stuk software, met diverse kwetsbaarheden waar misbruik van gemaakt kan worden. Wat je steevast ziet is dat de meest populaire software het het zwaarst te verduren krijgt. Apple heeft de afgelopen jaren steeds meer marktaandeel gekregen en vroeg of laat betekent dat dat ransomware ook naar OS X gaat komen. Tel daarbij op dat Apple-gebruikers meer willen uitgeven (sommige sites rekenen bijvoorbeeld meer voor bezoekers die met Apple-software browsen) en vooral ook dat gebruikers denken dat ze wel veilig zitten en het gaat een keer ontzettend mis.MBV schreef op zaterdag 02 april 2016 @ 18:03:
Volgens mij zit OSX veiligheidsarchitectuur iets beter in elkaar, zeker sinds de laatste versie. Zonder signature van Apple kan je geen kernel modules meer laden, en kan je standaard geen root-acties doen als applicatie. Alleen yes/ok/really ok aanklikken is niet genoeg, je moet in systeemvoorkeuren instellen dat unsigned applicaties mogen worden uitgevoerd, en dan voor root-acties je wachtwoord ingeven.
Het is uiteraard niet onmogelijk, maar wel een stuk moeilijker.
Vooral dat laatste is een groot risico: denken dat jij niet kwetsbaar bent is ongeveer de grootste kwetsbaarheid die je kunt hebben. Daar kan geen technische maatregel tegenop.
https://blog.brankovucine...lock-viruses-and-malware/
https://www.virustotal.co...2fd8/analysis/1461854906/
Werd overigens wel door Windows Defender tegengehouden (na een vertraging), ook de Locky + Locky.Gen A die dit javascript downloadde en probeerde uit te voeren. De "facturen" (meervoud) zijn meerdere keren geprobeerd te openen.
[ Voor 5% gewijzigd door oheng op 29-04-2016 19:32 ]
What seems to be the officer, problem?
Wel lijken de oudere ransomwares weer de kop op te steken. Maar die lijken een aantal virusscanners wel tegen te houden.
Bij een aantal oude infecties gelukkig de backup/snapshots goed voor elkaar.
Ook onlangs nog een .XTBL infectie gehad.
[ Voor 11% gewijzigd door Methmaniac op 13-05-2016 10:40 ]
‘You could have helped.’
'I’m helping by not helping.’
‘You’re the one with experience of these creatures.’
‘Children, Lobsang. They’re called children.’
https://myonlinesecurity....-82-95-82-delivers-locky/
Hier even de link naar VirusTotal analyse van het door mij geüploade JS bestand.
https://www.virustotal.co...05f7e33863e317b/analysis/
[ Voor 22% gewijzigd door jg77 op 13-05-2016 14:09 . Reden: Link toegevoegd ]
Blijft overigens frappant dat mensen er vooral zelf op klikken. Tegelijk zien de nep-mails er beter uit dan ooit.

KOPHI - Klagen Op Het Internet podcast. Luister hier! – bejaardenexport, WEF en de LIDL kassa kwamen al voorbij. Meepraten als gast? DM mij!
Of doet alleen Gmail dat?
https://support.kaspersky.com/viruses/utility# > RannohDecryptor > CryptXXX
Hopelijk dat aan de hand hiervan ook voor andere ransomware decryptors komen.
‘You could have helped.’
'I’m helping by not helping.’
‘You’re the one with experience of these creatures.’
‘Children, Lobsang. They’re called children.’
1. Men heeft voldoende geld binnen gehaald (alleen waarschijnlijk als het een lonewolf of kleine groep was)
2. Men denkt dat de politie aanknopingspunten heeft om de maker(s)/verspreider(s) te identificeren of wil simpelweg geen verder risico meer lopen.
3. Men heeft een nieuw project, daardoor heeft men nog steeds inkomsten maar met andere werkwijze en technische + financiele infrastructuur. Dan kan de politie weer vanaf 0 beginnen met opsporing.
This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.
Teslacrypt was wel een grote dus die eerste gaat waarschijnlijk sowieso niet op.sh4d0wman schreef op donderdag 19 mei 2016 @ 11:34:
Goed nieuws voor de slachtoffers die getroffen waren en de bestanden bewaard hebben. Men had wel geluk dat de makers mee wilden werken. Waarom men dat zou doen?
1. Men heeft voldoende geld binnen gehaald (alleen waarschijnlijk als het een lonewolf of kleine groep was)
2. Men denkt dat de politie aanknopingspunten heeft om de maker(s)/verspreider(s) te identificeren of wil simpelweg geen verder risico meer lopen.
3. Men heeft een nieuw project, daardoor heeft men nog steeds inkomsten maar met andere werkwijze en technische + financiele infrastructuur. Dan kan de politie weer vanaf 0 beginnen met opsporing.
2+3 lijkt het meest aannemelijk.
Stoppen met huidige werkzaamheden en onder een nieuwe vorm verder gaan.
Verwijderd
Clam-AV lijkt redelijk waardeloos te zijn, daarbij regent het false positives - tot op het niveau dat je niet eens meer opkijkt als er een hit tevoorschijn komt.tiguan schreef op donderdag 19 mei 2016 @ 11:37:
SG heeft clam-av
Klopt, vandaar ook de extra Cyren engine. Liever een false positive dan een infectie toch?Verwijderd schreef op donderdag 19 mei 2016 @ 11:45:
[...]
Clam-AV lijkt redelijk waardeloos te zijn, daarbij regent het false positives - tot op het niveau dat je niet eens meer opkijkt als er een hit tevoorschijn komt.
[ Voor 7% gewijzigd door tiguan op 19-05-2016 11:47 ]
Heeft iemand al (positief) nieuw over het Vegclass@aol.com.xtbl (Troldesh/Shade) virus?
2x BambuLab X1CC 3D Printer - Omtech 60w Co2 Laser - Cloudray 30w Fiber Laser
helaas:Web-Brielle schreef op maandag 13 juni 2016 @ 13:12:
Liever post ik het hier in plaats van een nieuw topic te openen..
Heeft iemand al (positief) nieuw over het Vegclass@aol.com.xtbl (Troldesh/Shade) virus?
http://www.bleepingcomput...remailxtbl-support-topic/
nog niet mogelijk voor zover ik het weet..
https://pvoutput.org/list.jsp?userid=86006
kpn mail met factuur.
Mogen nu 2 servers volledig restoren (gelukkig virtuele servers maar toch..)
edit: CBT-locker was het. halverwege de company hield hij op omdat we de gebruiker geforceerd afgemeld hadden
[ Voor 27% gewijzigd door furian88 op 22-06-2016 12:39 ]
https://pvoutput.org/list.jsp?userid=86006
Verder totaal geen problemen.
Is dit een andere Locky?
Dus eerst wordt alles gecodeerd en bij gebruik real time gedecoreerd. Je hebt dan niets in de gaten. Later stopt de decryptie en is alles, incl backup, gecodeerd.
[ Voor 6% gewijzigd door holl op 27-06-2016 21:03 ]
Een kennis heeft het virus verwijderd via avg maar de tool: https://decrypter.emsisoft.com/autolocky vind niets om te gaan decrypten. Nog iemand ideën?
De links om de sleutel te bekomen werken ook niet meer:
|*$$.-=
!!! BELANGRIJKE INFORMATIE !!!!
Al je bestanden werden gecodeerd met RSA-2048 en AES-128 versleuteling.
Meer informatie over RSA kan je hier vinden:
Wikipedia: RSA (cryptografie)
Wikipedia: Advanced Encryption Standard
Het decoderen van je bestanden is enkel mogelijk met de privé sleutel en decoderingsprogramma,
dat zich op onze geheime server bevind.
Volg één van deze links om je privé sleutel te ontvangen:
1. http://(knip).tor2web.org/(knip)
2. http://(knip)s.onion.to/(knip)
3. http://(knip).onion.cab/(knip)
Als al deze adressen niet beschikbaar zijn, voIg dan deze stappen:
1. Download en installeer de Tor Browser: https://www.torproject.org/download/download-easy.html
2. Na het installeren, start je de browser en wacht tot hij opstart.
3. Typ in the adresbalk: (knip).onion/(knip)
4. Volg de instructies op de site.
!!! Je persoonlijke identificatie ID: (knip)
[ Voor 9% gewijzigd door F_J_K op 28-06-2016 09:06 . Reden: Persoonlijke key weggeknipt. Hoeft niet voor iedereen zichtbaar te zijn ]
Wat is het volledige pad wat je hebt gevonden in de registry? Het zou inderdaad een slapende variant kunnen zijn, die dus later actief wordt.henk1234567890 schreef op maandag 27 juni 2016 @ 19:12:
ik heb Locky staan in o.a HKEY_CURRENT_USER en HKEY_USERS DEFAULT.
Verder totaal geen problemen.
Is dit een andere Locky?
[ Voor 20% gewijzigd door henk1234567890 op 28-06-2016 12:20 ]
Autolocky, waarvoor de tool is, is een andere variant dan Locky. Mogelijk heb je de 'gewone' Locky variant, waardoor de tool dus ook niet werkt. Locky is zover ik weet niet te kraken.belrpr schreef op maandag 27 juni 2016 @ 21:18:
Is er voor .locky al een decryptor.
Een kennis heeft het virus verwijderd via avg maar de tool: https://decrypter.emsisoft.com/autolocky vind niets om te gaan decrypten. Nog iemand ideën?
De links om de sleutel te bekomen werken ook niet meer:
|*$$.-=
!!! BELANGRIJKE INFORMATIE !!!!
Al je bestanden werden gecodeerd met RSA-2048 en AES-128 versleuteling.
Meer informatie over RSA kan je hier vinden:
Wikipedia: RSA (cryptografie)
Wikipedia: Advanced Encryption Standard
Het decoderen van je bestanden is enkel mogelijk met de privé sleutel en decoderingsprogramma,
dat zich op onze geheime server bevind.
Volg één van deze links om je privé sleutel te ontvangen:
1. http://(knip).tor2web.org/(knip)
2. http://(knip)s.onion.to/(knip)
3. http://(knip).onion.cab/(knip)
Als al deze adressen niet beschikbaar zijn, voIg dan deze stappen:
1. Download en installeer de Tor Browser: https://www.torproject.org/download/download-easy.html
2. Na het installeren, start je de browser en wacht tot hij opstart.
3. Typ in the adresbalk: (knip).onion/(knip)
4. Volg de instructies op de site.
!!! Je persoonlijke identificatie ID: (knip)
Sinds 27 juni Locky in het register.
Tot op heden geen probleem.
Ik heb Bitdefender Anti-Ransomware draaien .
Wanneer ik de HD formatteer met bv Darik's Boot And Nuke , is .locky dan verwijderd?
Hoeft niet, want je hebt geen Locky.henk1234567890 schreef op dinsdag 23 augustus 2016 @ 22:45:
Locky bij mij ( nog ) niet actief.
Wanneer ik de HD formatteer met bv Darik's Boot And Nuke , is .locky dan verwijderd?
Zoals ik al eerder aangaf, die registerregel komt door die Bitdefender anti-ransomware.
Hartelijk dank voor de reactie.
ik sap het
Dat zou inderdaad de bedoeling moeten zijn. Doen alsof je al geïnfecteerd bent en dan laat een echte infectie je met rust omdat het denkt dat je al de pineut bent. Tot dat ook doorzien wordt natuurlijk.dutchgio schreef op dinsdag 09 augustus 2016 @ 10:31:
Die software voegt die regels zelf aan het register toe, als mogelijk preventief middel om aan te geven dat de ransomware al actief is en niet nogmaals uitgevoerd wordt.
Someone now is screaming as the flames fly high.. PSN: DanielElessar
E.e.a. aan netwerk shares waar everyone schrijfrechten hadden zijn wat files encryped/vervangen voor .zepto
Meer mensen die deze al zijn tegen gekomen?
Wanneer ik op het pictogram "instellingen" tik krijg ik een beeld van 5x5 cm , dit kan ik niet scherm vullend maken.
Wie kan mij uit de droom helpen?
Met vriendelijke groet,
henknan
Ik kan me niet voorstellen dat je vijf jaar later nog besmet bent, het zal iets anders zijn. Open ajb een eigen nieuw topic met alle relevante informatie over de situatie, oplospogingen, etc. Dan kunnen we beter meedenken.
'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)
Dit topic is gesloten.